我们本质上是在尝试利用我们的一些产品来提供单点登录场景。
我们希望允许客户在他们自己的机器上(这些机器不受我们控制,也不能将机器放在我们自己的活动目录中)使用一组用户名/密码凭据(根据我们的域进行身份验证)登录到 Web 应用程序,并从那里启动指向 RDP 会话的链接(可以使用我们将安装的 URI 处理程序在本地启动,也可以使用 RD Web Access)。
当然,我们会遇到这样的问题:再次要求用户提供他们的域凭据(在我们的域上),并且我们似乎无法从我们的 Web 应用程序(已根据我们的 AD 进行身份验证)传递某种令牌来允许 SSO。
http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx似乎表明目前这是不可能的。对吗?
我考虑了几个选项:- RD Web Access SSO(只完成了一半,并且只有当客户端也在域中时才有效)-http://blogs.msdn.com/b/rds/archive/2009/08/11/introducing-web-single-sign-on-for-remoteapp-and-desktop-connections.aspx - 存储和转发最初捕获的用户名/密码 - 从安全角度来看,这令人震惊。
有任何想法吗?
答案1
我认为答案是“Microsoft RD 客户端不行”——它支持用户名/密码组合或转发 NTLM 登录凭据(这不是您在非域环境中想要的)。一种可能的选择是使用虚拟智能卡,它会从您的 Web 服务器上提取一个短期证书,但这不仅需要在客户端的计算机上安装软件,还需要对所需的驱动程序进行广泛(即冗长且可能昂贵)的认证过程。
您可以考虑使用第三方产品(如 Citrix XenDesktop),这些产品支持您的场景(Web 门户登录后的身份验证直通)。